Кибербезопасность предприятия
НКНбд-01-22;
Аристид Жан,
Акопян Сатеник,
Кадров Виктор,
Нве Манге Хосе Херсон Мико,
Эспиноса Висилита Кристина Микаела,
НПИбд-01-22;
Стариков Данила,
НФИбд-02-22;
Чемоданова Ангелина
Основная цель данной лабораторной работы заключается в выполнении тренировки “Защита контроллера домена предприятия” в роли команды “Blue Team” (CSIRT — Computer Security Incident Response Team). В процессе выполнения работы необходимо освоить практические навыки выявления, анализа и устранения уязвимостей в различных системах, а также освоить навыки отработки действий по нейтрализации последствий успешных атак.
Внешний злоумышленник находит в интернете сайт Компании и решает провести атаку на него с целью получения доступа к внутренним ресурсам компании. Обнаружив несколько уязвимостей на внешнем периметре и закрепившись на одном из серверов, Злоумышленник проводит разведку корпоративной сети с целью захватить контроллер домена.
Квалификация нарушителя средняя. Он умеет использовать инструментарий для проведения атак, а также знает техники постэксплуатации.
Злоумышленник обладает опытом проведения почтовых фишинговых рассылок.
Последовательность действий нарушителя следующая:
Уязвимости и последствия:
Сетевой сенсор ViPNet IDS NS детектирует события сканирования веб-сервера на предмет SQL-инъекций, использование определенного типа инъекции (Blind SQL-Injection), а также загрузку вредоносного файла с php скриптом и выставление права доступа на выполнение.
Решение: известно, что $id является уязвимым параметром, следует проверять тип данного параметра. Требуется найти место кода, где данный параметр считывается из GET запроса.
Считывание параметра сайта происходит в функции actionView() в файле NewsController.php.
Для проверки типа $id используется функция is_numeric, которая возвращает True в случае, если $id – число, иначе – False. В случае успешной проверки параметр $id будет передаваться в запрос, иначе – запрос будет статичным и независимым от $id.
После внесения изменений в файл конфигурации и проверки значения параметра $id уязвимость SQL-инъекции успешно устранена.
Нарушитель устанавливает shell сессию с веб-порталом PHP. Для обнаружения последствия необходимо проверить сокеты уязвимой машины при помощи утилиты ss с ключами –tp. На скриншоте ниже изображено активное соединение веб-портала с IP-адресом нарушителя (195.239.174.11). Необходимо устранить соединение, воспользовавшись командой kill.
В результате выполнения команды сессия с нарушителем завершена, последствие Web portal meterpreter успешно устранено.
Один из способов проверки состояния защиты в реальном времени Windows Defender – в Powershell ввести команду Get-MpPreference и проверить значение параметра DisableRealtimeMonitoring. Если значение – True, то защита в реальном времени выключена.
На вышеупомянутом рисунке изображено значение «true» параметра DisableRealtimeMonitoring, что означает отключенную защиту антивируса на узле.
Решение: на узле Administrator Workstation вручную удалить запись в реестре или через консоль, используя команду: REG DELETE «HKLM/SOFTWARE/Policies/Microsoft/Windows Defender» /v DisableAntiSpyware. Подтвердить действие, далее в Windows Defender перезапустить Virus & Threat Protection и включить Real-time Protection.
После удаления записи реестра и включения защиты антивирусной программы Microsoft Defender необходимо перезагрузить Windows.
Установленную сессию с нарушителем можно обнаружить при помощи
утилиты netstat с ключами -ano. Для устранения необходимо завершить
сессию с машиной нарушителя. Например, при помощи команды taskkill /f
/pid
С помощью ViPNet IDS NS в сетевом трафике обнаруживаются множественные попытки подключения к хосту AD&DNS с портом 3389, сканирование системы, что может говорить о попытках подбора пароля. Также если мы зайдем на сам узел MS Active Directory, откроем Viewer Properties, перейдем в необходимую директорию с событиями (TerminalServeces…), то сможем увидеть событие с кодом 1149, которое говорит о том, что пользователю удалось подключиться по RDP.
Решение: изменить пароль к учетной записи администратора на более сложный, не содержащийся в словарях.
На вышеупомянутом рисунке изображена смена пароля администратора на узле MS Active Directory командой «net user Administrator *». В результате изменения ненадежного пароля уязвимость успешно устранена.
Добавление нового привилегированного пользователя можно отследить с помощью аудита событий входа в учетную запись Windows security, где появится событие с ID 4720. Необходимо перейти в Event Viewer и в Windows Logs – Security, затем применить фильтр на логи. Ниже показан лог, генерируемый при добавлении нового пользователя.
Для удаления пользователя необходимо зайти в Administrative Tools – Active Directory Users and computers. Затем во вкладке Users найти и удалить нового привилегированного пользователя с именем «Hacked».
В результате выполнения вышеупомянутых действий привилегированный пользователь удален, последствие AD User успешно устранено.
В ходе выполнения данной лабораторной работы мы выполнили тренировку “Защита контроллера домена предприятия” в роли команды “Blue Team” (CSIRT — Computer Security Incident Response Team). В процессе выполнения работы освоили практические навыки выявления, анализа и устранения уязвимостей в различных системах, а также освоили навыки отработки действий по нейтрализации последствий успешных атак.